vgrange/peamu

[dejafait]

TODO Vermeer

• matomo post MEP

La code review PE Connect est ouverte, merci de la faire commit par commit svp. Il y a 3 petits et 1 gros commit.

Vous pouvez directement tester en recette jetable https://review-vgrange-peamu.cleverapps.io/

Commentaire du principal commit dupliqué ci-dessous:

PE Connect aka PEAMU is based on OpenID Connect (OIDC).
Note that OpenID Connect (OIDC) is *not* the same as OpenID.

PEAMU acronym is used as it is less ambiguous than PEAM, which does not
explicitely state if we are talking about PEAM Users of PEAM Enterprise.

This code is heavily inspired by official Google provider, also using OIDC:
https://github.com/pennersr/django-allauth/tree/master/allauth/socialaccount/providers/google

PEAMU redirect_uri works with port 8080 but not 8000 nor 5000,
and works only with `localhost` and not `0.0.0.0`.
These new constraints were implemented by PEAMU during March 2020.
Thus we have to use localhost:8080 for our local dev
instead of the former 0.0.0.0:8000 sorry! ¯\_(ツ)_/¯

Disable annoying PIN code in local dev debugger.

Refactor frontend login page into 3 variants for our 3 user roles.
Job seeker can PE Connect either from login page or from signup page.

More pages have been implemented:
1) login_cancelled.html which happens when user clicks "Cancel" on the
"Mire de connexion PE".
2) signup.html used when PEAMU user account is not valid yet.
See explanation in the template for more information.
3) authentication_error.html which is never supposed to be visible.

8 extra API PE Connect are prepared but not used yet,
as our 8 contracts have not been validated yet.

Screenshots :

edge cases:

[ikarius]

Ça à l'air bien cool.
Une remarque, si on merge la PR 111 (new prescripteurs) avant, le path pour l'inscription d'un nouveau prescripteur ne sera plus signup/prescriber mais signup/select_prescriber_type

[github-actions]

🥁 La recette jetable est prête ! 👉 Je veux tester cette PR !

[github-actions]

🥁 La recette jetable est prête ! 👉 Je veux tester cette PR !

[celine-m-s]

Ici tu peux utiliser un {% blocktrans %} si tu veux éviter les «.

[kemar]

Presque LGTM mais j'aimerais comprendre certains changements de ports. Le reste est minime et ne pose pas de problème à court terme, à implémenter si tu le juges nécessaire. Chouette boulot !

[kemar]

Pour moi ce commentaire est source de confusion.

Si le nom te semble incorrect alors il faut : soit le changer, soit accepter de vivre avec :)

[dejafait]

Ouais ça me faisait un peu peur de le changer car il fallait aller triturer dans la conf CC. Mais maintenant que je connais mieux je vais le faire.

C'est un peu tricky tout de même pour changer sans coupure. Dans la conf CC il faut dupliquer les variables, puis MEP, puis enlever les anciennes variables. Pour staging et pour prod.

Will do.

[dejafait]

Je vais en profiter pour remplacer "Emploi Store Dev" par "ESD" partout. Shorter is nicer.

[kemar]

En fait je vois PEAMU écrit partout dans la base de code mais je ne sais pas ce que ça signifie.

Perso je connais PEAM pour "Pôle Emploi Access Management" tel que mentionné dans la doc.

Je suppose que le U vient pour "User" ? Ça serait pas mal de le mentionner une fois en commentaire dans les settings.

[dejafait]

Nouveau commentaire :

# PE Connect aka PEAMU - technically one of ESD's APIs.
# PEAM stands for Pôle Emploi Access Management.
# Technically there are two PEAM distinct systems:
# - PEAM "Entreprise", PEAM-E or PEAME for short.
# - PEAM "Utilisateur", PEAM-U or PEAMU for short.
# To avoid confusion between the two when contacting ESD support,
# we get the habit to always explicitely state that we are using PEAM*U*.

[dejafait]

Pour mémoire j'ai pris cette habitude suite à une grosse galère avec le support ESD pour un souci PE Connect LBB. Après m'avoir baladé d'interlocuteur en interlocuteur, je me suis pris un "Ah bon c'est pas PEAM Entreprise que vous utilisez?". Never again. PEAMU.

[kemar]

Je ne comprends pas cette modif et du coup j'ai l'impression que tu n'as pas bien compris non plus.

J'explique : la première valeur est configurable et opère sur la machine hôte (ta machine de dev) via une variable d'environnement à la convenance du développeur avec DJANGO_PORT_ON_DOCKER_HOST. La seconde valeur n'a pas besoin d'être modifiée car elle concerne le port à l'intérieur du conteneur Docker.

Est-ce que c'était une incompréhension ou il y a une vraie raison pour ce changement ?

[dejafait]

C'est pas plus simple de garder le même numéro de port pour les deux? Sinon on va se mélanger entre 8000 et 8080. Avant PEAMU c'était le même port 8000 pour les deux, on se posait pas la question.

[kemar]

Alors laisse 8000 car c'est le port par défaut.

Si tu as besoin d'un 8080 sur ta machine alors c'est un réglage spécifique pour toi et tu dois utiliser le mapping de ports grâce à DJANGO_PORT_ON_DOCKER_HOST.

[dejafait]

Ce n'est pas un réglage/tuning perso, c'est nécéssaire pour faire fonctionner PEAMU en local dev, qui plante pour une redirect_uri en localhost 8000 mais passe avec un localhost 8080. Me demande pas pourquoi, c'est une maj cryptique de sécu côté PEAMU qui date de mars 2020 et qui a été bien pénible à investiguer et solutionner.

Du coup en forcant et passant tout le monde à 8080, j'évite une galère monumentale aux autres devs qui veulent faire tourner PEAMU en local.

[kemar]

Ah ok alors je comprends qu'il y a un motif légitime. C'est bizarre que ça te force aussi à modifier le port à l'intérieur du Docker cela dit… Bref, compris !

[dejafait]

Je ne suis pas obligé de modifier le port à l'intérieur du docker, j'aurai pu le laisser à 8000. Mais imagine que tu es un nouveau dev qui arrive sur le projet, tu vas être "wtf pourquoi c'est deux ports différents à l'extérieur et à l'intérieur du docker, pourquoi pas juste 8080 partout?".

[kemar]

Oui ok j'ai compris mais je peux pas t'expliquer Docker plus que ce que j'ai déjà fait. S'il y a un WTF c'est juste que tu n'as pas compris ton archi de dev !

[dejafait]

Mmmm apparemment il n'y a que moi que ça pertube d'utiliser deux numéros de port différents là où on pourrait utiliser le même pour plus de simplicité, je rollbacke donc le port interne du container à la valeur par défaut de 8000. Garder la valeur par défaut là où c'est possible est plus important que mon pinaillage.

[kemar]

Attention car là tu es dans ton Docker. Donc pour parler au monde extérieur tu dois bien utiliser 0.0.0.0 pour écouter sur toutes les interfaces réseau disponibles. En laissant 127.0.0.1 ou localhost tu te cantonnes à communiquer avec le même hôte, donc ici ton conteneur Docker.

Idem, pas besoin de ce changement de port à l'intérieur du conteneur Docker qui ne concerne pas le monde extérieur.

[dejafait]

Ok. C'est juste dommage de pas avoir trouvé une solution pour que l'URL ici :

soit la bonne.

[kemar]

En fait l'URL est bonne puisque c'est l'IP 0.0.0.0 du conteneur Docker qui est exposée. Il faut juste comprendre que c'est celle du Docker et que tu l'attaques depuis l'hôte via un mapping de port.

[kemar]

Tu peux mettre un resp.raise_for_status() ici peut-être ?

[dejafait]

Bof. L'idée en surchargeant get_access_token est juste d'injecter le strict nécéssaire params = {"realm": "/individu"} et de ne surtout pas toucher au code de la dépendance.

[kemar]

Je dis ça en rapport au commentaire :

TODO: Proper exception handling

[dejafait]

Je me suis peut-être mal exprimé. Ce commentaire vient de la dépendance : https://github.com/pennersr/django-allauth/blob/6a6d3c618ab018234dde8701173093274710ee0a/allauth/socialaccount/providers/oauth2/client.py#L65

Ta suggestion a plutôt sa place comme une PR sur django-allauth non?

[kemar]

Ah compris, du coup est-ce qu'il faut vraiment conserver verbatim le code de la dépendance quitte à créer la confusion à la lecture ?

[dejafait]

Je vais juste virer le commentaire confusant, ça mange pas de pain.

[kemar]

Ok, pas de problème avec la modification de ce port car il concerne un port sur la machine de dev et pas dans le conteneur Docker.

[kemar]

Ici la fonction ne fait pas ce qu'elle annonce, tu devrais pouvoir filtrer sur provider ou quelque chose comme ça pour être certain de taper dans du PE Connect et ne pas remonter autre chose si un jour on rajoute Facebook connect ou autre.

Astuce bonus : tu peux utiliser cached_property.

[kemar]

Idem pour le filtre PE Connect.

[github-actions]

🥁 La recette jetable est prête ! 👉 Je veux tester cette PR !